Австрийский надзорный орган (Управление по защите данных - DSB) объявил использование анонимизации IP-адресов Google неэффективной мерой защиты при передаче данных между ЕС и США. DSB также отвергло концепцию "подхода, основанного на риске", которую отстаивала компания Google.
После решения по делу Schrems II Европейский центр цифровых прав (NOYB) подал жалобы в надзорные органы государств ЕС на компании, передающие персональные данные Google и Facebook в нарушение GDPR.
DSB опубликовало свое решение по одной из таких жалоб 13 января 2022 года. Жалоба была направлена на оператора австрийского веб-сайта, который использовал на своем сайте инструмент Google Analytics, а также на компанию Google LLC.
Второе решение по аналогичной жалобе было опубликовано 22 апреля 2022 года. Жалоба также адресована двум ответчикам: оператору вебсайта, установившему Google Analytics, и Google LLC. В решении надзорный орган пришел к следующим выводам:
- Google Analytics обрабатывает персональные данные
Надзорные органы и регуляторы уже давно пришли к консенсусу относительно того, что уникальные идентификаторы и метаданные являются персональными данными и входят в материальную сферу действия GDPR. Однако, ответчики ссылались на анонимизацию IP-адресов. Надзорный орган отверг аргумент, так как анонимизация Google применяется только к IP-адресам, в то время как другие данные, такие как сетевые идентификаторы, установленные для файлов cookie, или данные устройства передаются в незашифрованном виде. Кроме того, анонимизация IP происходит только после передачи данных в Google.
- Неэффективность механизма трансграничной передачи данных
Хотя Стандартные договорные условия (SCC) являются механизмом трансграничной передачи по ст. 45 GDPR, их заключение не защищает персональные данные от доступа со стороны государственных органов страны-получателя. Для надежной защиты данных необходимо применять дополнительные технические и организационные меры защиты. Ответчики в данном случае ссылались на заключение SCC и анонимизацию IP-адресов. Однако, IP-анонимизация Google не защищает данные. Так как IP-адреса анонимизируются на каком-то этапе процесса, они все равно обрабатываются изначально. Анонимизация одного идентификатора также не отменяет того факта, что существуют другие идентификаторы.
Также ответчики ссылались на применение шифрования. Однако, согласно § 1881a FISA 702, компания обязана предоставить доступ к данным, что может распространяться и на криптографические ключи, без которых данные не могут быть прочитаны. DSB пришло к выводу, что до тех пор, пока второй ответчик сам имеет возможность доступа к данным в виде обычного текста, технические меры, на которые он ссылается, не могут считаться эффективными.
- Отклонение концепции risk-based approach
После принятия решения по Schrems II юристы Big Tech компаний выступали за "риск-ориентированный подход" к передаче данных. Они предложили, чтобы дополнительные гарантии, как того требует CJEU, были необходимы только в случае "существенного риска для прав и свобод субъекта данных". DSB отклонило довод Google о "подходе, основанном на риске". Чем выше риск, связанный с обработкой данных, тем выше требования к доказательствам, которые должны быть представлены для подтверждения соответствия GDPR. Такой подход содержится в ряде статей GDPR, например, ст. 35. Однако исходя из текста ст. 44 GDPR очевидно, что ее правила применяются ко всем передачам, независимо от риска. Нарушение ст. 44 GDPR уже происходит, если персональные данные передаются в третью страну без адекватного механизма защиты.
- Распределение ролей и обязанность соблюдать ст. 44
Оператор сайта является контролером данных. Роль Google в дальнейшей обработке данных в целях компании DSB решило не определять, так как требования ст. 44 одинаково распространяются на контролеров и процессоров. Однако, нарушителем ст. 44 в данном случае является только оператор сайта, так как является экспортером данных. Тем не менее, Google LLC нарушает другие положения GDPR, которые будут рассмотрены в следующих решениях DSB.
DSB пришло к выводу, что инструмент Google Analytics (по крайней мере, в версии от 14 августа 2020 года) не может использоваться в соответствии с положениями главы V GDPR. Однако надзорный орган не использовал полномочия по исправлению ситуации, поскольку инструмент был удален до завершения процедуры рассмотрения жалобы.